The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от opennews (??) on 16-Янв-18, 09:57 
В BitTorrent-клиенте Transmission (http://www.transmissionbt.com/) выявлена уязвимость (https://github.com/transmission/transmission/pull/468) (CVE-2018-5702 (https://security-tracker.debian.org/tracker/CVE-2018-5702)), затрагивающая RPC-интерфейс, используемый для организации связи между бэкендом (рабочий процесс) и фронтэндом (интерфейс). Уязвимость позволяет организовать атаку, которая, если в системе запущен  Transmission, может привести к выполнению произвольного кода в системе, при открытии в браузере сайта атакующего.


Исправление  доступно в виде патча (https://patch-diff.githubusercontent.com/raw/transmission/tr...) и обновления для дистрибутивов Debian (https://security-tracker.debian.org/tracker/CVE-2018-5702), FreeBSD (http://www.vuxml.org/freebsd/3e5b8bd3-0c32-452f-a60e-beab7b7...) (пока недоступно для Fedora (https://bodhi.fedoraproject.org/updates/?releases=F27&type=s...), SUSE (https://www.suse.com/security/cve/CVE-2018-5702/), openSUSE (https://lists.opensuse.org/opensuse-security-announce/2018-01/), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2...), RHEL/EPEL (https://bugzilla.redhat.com/show_bug.cgi?id=1534063)). Информация об уязвимости и патч для её устранения были переданы (https://bugs.chromium.org/p/project-zero/issues/detail?id=1447) разработчикам Transmission ещё 30 ноября, но разработчики никак не отреагировали на проблему, поэтому исследователь решил раскрыть подробности об атаке не дожидаясь истечения 90 дней, чтобы дистрибутивы могли устранить уязвимость не дожидаясь обновления от основного проекта.

По умолчанию бэкенд принимает запросы на сетевом порту 9091, привязываясь к интерфейсу localhost (127.0.0.1). Запросы фронтэндов отправляются с использованием формата JSON, а для успешного подключения обязательно заполнение HTTP-заголовка "X-Transmission-Session-Id". Злоумышленник может создать страницу, при открытии которой при помощи вызова XMLHttpRequest() можно отправить произвольный запрос на localhost, но в этом случае невозможно подставить свой заголовок "X-Transmission-Session-Id", так как сработает защита от выхода за пределы области текущего домена (cross-origin).


Для обход данного ограничения предлагается интересный трюк. Для хоста с которого предлагается страница для атаки на DNS настраивается поочерёдная отдача двух IP-адресов: на первый запрос отдаётся реальный IP сервера со страницей, а затем возвращается 127.0.0.1. Время жизни (TTL) для данной DNS-записи выставляется в минимальное значение. При открытии страницы браузер определяет реальный IP сервера атакущего и загружает содержимое страницы. На странице запускается JavaScript-код, ожидающий истечения TTL и после этого отправляющий при помощи XMLHttpRequest() второй запрос, который теперь определяет хост как 127.0.0.1, что приводит к обращению к внутреннему сетевому интерфейсу компьютера пользователя без ограничений cross-origin, что позволяет передать произвольный HTTP-заголовок.

Для демонстрации атаки подготовлен специальный минималистичный DNS-сервер rbndr (https://github.com/taviso/rbndr), циклично меняющий  IP для хоста.  Также доступен (http://lock.cmpxchg8b.com/Asoquu3e.html) пример JavaScript-кода для совершения атаки. Для организации выполнения кода после успешной отправки запроса к бэкенду  используется возможность Transmission по привязке выполнения скрипта к загрузке торрента. В частности, можно передать бэкенду команду по включению режима script-torrent-done-enabled и запустить любой скрипт или установить параметр download-dir в /home/user/  и загрузить фиктивный торрент с именем ".bashrc".

URL: http://openwall.com/lists/oss-security/2018/01/11/1
Новость: http://www.opennet.ru/opennews/art.shtml?num=47912

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  –3 +/
Сообщение от Аноним (??) on 16-Янв-18, 09:57 
> Также доступен пример JavaScript-кода для совершения атаки.

А есть Torrent-клиенты без поддержки JavaScript? (типа как Links2 среди веб-браузеров)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +3 +/
Сообщение от Аноним (??) on 16-Янв-18, 10:09 
rtorrent. Без финтефлюшек. Стоковый чисто из cli
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

24. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от scorry (ok) on 16-Янв-18, 11:55 
Хороший клиент. Только демонизироваться не умеет, к сожалению, поэтому приходится всякие телодвижения совершать в начале настройки.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

40. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от Ващенаглухо (ok) on 16-Янв-18, 15:55 
запускаю его в screen-e
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

42. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от scorry (ok) on 16-Янв-18, 16:09 
> запускаю его в screen-e

У меня аналогичная история, дружище. Так он у меня и работает, с мордой на руТорренте. Кое-кто даже публиковал сыстемд-юниты для него, а я их пытался у себя внедрить, но как-то у меня не заработало сначала, а потом заработало, но не так, как обещало, а скрипт из рц.локал, который запускал скрин и пинал в него рторрент, и так нормально работал, так что я вот эти вот свои вялые трепыхания в сторону совершенства и порядка прекратил.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

41. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от . on 16-Янв-18, 16:09 
git версия умеет (branch feature-bind)
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

43. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от scorry (ok) on 16-Янв-18, 16:10 
> git версия умеет (branch feature-bind)

О. Интересно. Спасибо, посмотрю. Форк или фича от автора?

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

44. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от Ivan_83 (ok) on 16-Янв-18, 16:29 
Я его патчил чтобы он демоном был, при этой гуй консольный выпиливал.
Автор патч не взял, так он у меня и используется приватно.
Могу выложить.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

45. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от scorry (ok) on 16-Янв-18, 17:44 
> Я его патчил чтобы он демоном был, при этой гуй консольный выпиливал.
> Автор патч не взял, так он у меня и используется приватно.
> Могу выложить.

Пожалуйста, выложите. А чем управляли без гуя — через веб?

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

46. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +1 +/
Сообщение от Ivan_83 (ok) on 16-Янв-18, 17:53 
http://www.netlab.linkpc.net/wiki/ru:software:rtorrent:daemon

Скрипт rc.d под фрю, патч я делал чтобы то что в портах фри могло с ним собраться.
Вообще, там патч можно было ещё доработать, потому что сейчас гуй по факту компеляется, просто оторван от консоли, а можно было бы и не собирать его вовсе.

Ещё мой плагинчик для rutorrent: http://www.netlab.linkpc.net/download/software/rtorrent/ruto.../

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

51. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от scorry (ok) on 16-Янв-18, 18:23 
Благодарю!
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

70. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +1 +/
Сообщение от Аноним (??) on 17-Янв-18, 03:13 
> Хороший клиент. Только демонизироваться не умеет, к сожалению

...и вебфэйс еще ужаснее, и RPC протокол вместе с ним: те же яйца, вид в профиль, только вместо JSON-а еще и XML к тому же зачем-то. Бессмысленно и беспощадно.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

78. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от scorry (ok) on 17-Янв-18, 12:05 
>> Хороший клиент. Только демонизироваться не умеет, к сожалению
> ...и вебфэйс еще ужаснее, и RPC протокол вместе с ним: те же
> яйца, вид в профиль, только вместо JSON-а еще и XML к
> тому же зачем-то. Бессмысленно и беспощадно.

Ну не знаю... Раз настроил, плагинов понацеплял, и работает себе. Веб-фейс, кстати, далеко не один, если я корректно припоминаю. Кстати, чего вам в том же руТорренте не хватает?

Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

80. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +1 +/
Сообщение от Аноним (??) on 18-Янв-18, 00:36 
Для трансмишна тоже морд хватает. И в отличие от всего этого креатива это просто хтмлки перекидывающиеся с бэкэндом трансмишна AJAXом. А то что я вижу для рторента - еп, там пых какой-то. Вот чего мне не хватало так это пыха. Особенно на роутере или одноплатнике. И пых совсем не похож на кучу дыр.

Интересно, насколько по вашему сложно похожую морду перенести на чистый AJAX и трансмишн? Чтобы без всяких пыхов :)

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

83. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от scorry (ok) on 18-Янв-18, 11:23 
> Особенно на роутере или одноплатнике.

Ну, роутеры, положим, очень разными бывают, как и одноплатники.


> Интересно, насколько по вашему сложно похожую морду перенести на чистый AJAX и
> трансмишн? Чтобы без всяких пыхов :)

Не знаю, я не писатель.

Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

87. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от Аноним (??) on 19-Янв-18, 00:27 
> Ну, роутеры, положим, очень разными бывают, как и одноплатники.

Трансмишн прекрасно живет на хомякороутере с 64 мегами RAM или более. Можно даже на копеечных или древних девайсах с 32 мегами запустить, если кэш порезать и с кол-вом торентов и пиров не наглеть, не забыв врубить ZRAM.

Одноплатник... одноплатника с ARM хватит "любого". Даже оранжа за 500 рублей с али, на 4 ядрах и 256-512 мегов рамы сабж просто зальется торентами. Все упрется в диск, в этом месте захочется одноплатник с нативным SATA, вероятно, чтобы цепануть нормальный винч по нормальному и-фейсу. Так можно сидбокс отгрохать, цена вопроса баксов 40-50. Хня размером с мыльницу получится.

> Не знаю, я не писатель.

Там по идее ajax-ом надо с бэкэндом перекидываться, само по себе это и логично и не особо сложно в реализации. Так что для сабжа есть пяток разных вебморд. И было бы здорово если бы упомянутые морды портанули и на бэк трансмишна. Но у rtorrent вроде как XML в запросах зачем-то.

И так между нами, в libxml и чем там еще XML парсят дыр в разы больше чем во всем что с транммишном связано. Про пых даже вспоминать неудобно, так что если кому-то требуется пых в бэкэнде чтобы торенты качать - ненене, пожелаем этому стрему скорейшей кончины, когда есть альтернатива которая без всего этого ужаса обходится.

Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

85. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от Онаним on 18-Янв-18, 21:30 
Торрентокачалка без µTP - это примерно как комп без USB.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

88. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от Аноним (??) on 19-Янв-18, 00:28 
> Торрентокачалка без µTP - это примерно как комп без USB.

А при чем тут uTP? Как он к JS относится? Transmission кстати uTP умеет давным давно, если что. И даже умеет делать его предпочитаемым, если ремота uTP умеет. Так канал меньше забивается и остальное не лагает.

Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

95. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от ABATAPA email(ok) on 02-Мрт-18, 13:47 
У него тоже не всё везде хорошо:
https://www.opennet.ru/opennews/art.shtml?num=48177
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от Аноним (??) on 16-Янв-18, 10:10 
rtorrent
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

13. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +3 +/
Сообщение от Crazy Alex (ok) on 16-Янв-18, 10:43 
Этот JS - для страницы, которая будет XHR слать.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

21. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +2 +/
Сообщение от Рыба ест людей on 16-Янв-18, 11:31 
Так javascript выполняется не в torrent клиенте, а в браузере пользователя, на хосте которого крутится демоном transmission.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

27. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от минонА on 16-Янв-18, 12:47 
aria2.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

56. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от Аноним (??) on 17-Янв-18, 00:16 
Парадокс rtorrent и aria2 в том что их тоже тухловато без вебгуя использовать. И к обоим есть вебгуи. Но в силу маргинальности направления они не особо протестированы кем либо. Про них вы такое узнаете как-нибудь потом.

А совсем без вебгуя неинтерактивный торент клиент рулить... ариа2 так вообще с торентами довольно криво работает, что с гуем что без.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

69. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от Аноним (??) on 17-Янв-18, 03:12 
> А есть Torrent-клиенты без поддержки JavaScript? (типа как Links2 среди веб-браузеров)

Можно у сабжа не включать RPC или включить но с паролем. Он собственно и отключен по дефолту почти везде. Это его надо явно врубить, да еще без пароля, и вот тогда хакеры в столовой все-таки сопрут солонки. Может быть. Если смогут своей вебстраницей порулить RPC трансмишна, угадав айпи и порт и он и правда без пароля.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

79. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +1 +/
Сообщение от тигар (ok) on 17-Янв-18, 22:09 
>> Также доступен пример JavaScript-кода для совершения атаки.
> А есть Torrent-клиенты без поддержки JavaScript? (типа как Links2 среди веб-браузеров)

lftp (лень листать комменты, может уже и успели посоветовать, хз)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

86. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от Michael Shigorin email(ok) on 18-Янв-18, 22:50 
> lftp (лень листать комменты, может уже и успели посоветовать, хз)

Раз у Вас в телнете даже поиск не работает -- давайте хоть я сообщу: нет, не успели, и да, офигел; спасибо 8)

Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

2. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от Онанимус on 16-Янв-18, 10:02 
Еще один плюс в использовании LEDE. Браузер на ноуте, transmission на роутере.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +1 +/
Сообщение от angra (ok) on 16-Янв-18, 10:52 
А уязвимость та же, хоть и чуть больше времени уйдет на перебор ip роутера. Или ты думаешь, что есть принципиальная разница для dns сервера в выдаче 127.0.0.1 и 192.168.0.1?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

18. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +1 +/
Сообщение от Аноним (??) on 16-Янв-18, 11:09 
Принципиальная разница в использовании пароля.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

58. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +1 +/
Сообщение от angra (ok) on 17-Янв-18, 01:59 
При использовании пароля и localhost вариант неуязвим.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

71. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +1 +/
Сообщение от Аноним (??) on 17-Янв-18, 03:17 
> При использовании пароля и localhost вариант неуязвим.

Интерфейс ремотного управления без пароля - вообще не очень хорошая идея, мягко говоря.

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

28. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от Онанимус on 16-Янв-18, 13:06 
> Или ты думаешь, что есть принципиальная разница для dns сервера в выдаче 127.0.0.1 и 192.168.0.1?

Я думаю, что есть принципиальная разница между автоматическим харвейстером и ручным взломом. Плюс еще не забыть перебрать IPv6. Да еще TTL чтоб не сдохла.
Никто не будет заморачиваться этим, долбя по площадям.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

61. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от angra (ok) on 17-Янв-18, 02:09 
А причем здесь ручной взлом? Будет на страничке не один iframe и A запись, а несколько десятков или даже сотен.
IPv6 only в локальной сети? Если такие извращенцы и существуют, то их можно игнорить.


Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

75. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +1 +/
Сообщение от Онанимус on 17-Янв-18, 10:07 
> IPv6 only в локальной сети? Если такие извращенцы и существуют, то их можно игнорить.

Вот и я о том же. Ни кто не будет писать зловреда, перебирающего не то что IPv6, но даже пару адресов IPv4. Задача зловреда накрыть максимум территории, а не гоняться за никому не нужным Неуловимым Джо. И в этом его ключевое отличие от адресного взлома.
Тем более, что кулхацкер не может быть уверен, что его страницу открыли из домашней сети, а не из сети предприятия с развернутой IDS/IPS, которая безусловно заинтересуется - какого хрена комп манагера Васи сканирует сеть на нестандартный порт. Так ведь и спалица не долго ;)

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

35. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от КО on 16-Янв-18, 14:36 
>Или ты думаешь, что есть принципиальная разница для dns сервера в выдаче 127.0.0.1 и 192.168.0.1?

Ну, скорее всего, в этом случае DNS браузеру будет отдавать сам роутер и заставить его играть с TTL
сложнее.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

60. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от angra (ok) on 17-Янв-18, 02:06 
Ты вообще в курсе, как работают NS в кеширующем режиме? Для того, чтобы они игнорировали TTL, придется лезть в их настройки или даже в исходный код.
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

26. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от noname.htm (ok) on 16-Янв-18, 12:10 
Заменяем 127.0.0.1 на 192.168.1.1 и повторяем.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

62. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от Аноним (??) on 17-Янв-18, 02:32 
> Заменяем 127.0.0.1 на 192.168.1.1 и повторяем.

Отсюда мораль: не оставлять дефолтный айпи у роутера. Для пущих лулзов использовать ipv6, пусть попробуют адрес подобрать.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

3. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +6 +/
Сообщение от Аноним (??) on 16-Янв-18, 10:06 
Я что-то не правильнт прочитал илиэ о очередная уязвимость браузеров?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от nazarpc on 16-Янв-18, 10:18 
В веб обычная практика когда один домен имеет несколько IP адресов, так что скорее всего нет
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

16. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +3 +/
Сообщение от angra (ok) on 16-Янв-18, 10:56 
Это использование давно известной принципиальной уязвимости браузеров применительно к конкретному демону.


Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

55. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +1 +/
Сообщение от Аноним (??) on 17-Янв-18, 00:15 
А почему её до сих пор не закрыли? Ведь 127.0.0.1 - это локальный адрес.

Кстати, NoSript (старый) со включённым ABE от такого защищает.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

59. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +2 +/
Сообщение от angra (ok) on 17-Янв-18, 02:02 
> Ведь 127.0.0.1 - это локальный адрес.

Которым активно пользуются при разработке. То есть он вполне валиден.

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

74. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от КО on 17-Янв-18, 10:06 
>Ведь 127.0.0.1 - это локальный адрес.

И что, теперь к локальной машине нельзя обращаться по имени?
Это не уязвимость браузера - это особенность разбора имени - ему может быть сопоставлен любой адрес, причем динамически. В силу этого проверка по имени домена это ни о чем.

P.S. проблему как-то могло бы решить обнаружение запросов к другому серверу по сертификату (в случае SSL), вместо cross-domain.

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

4. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  –1 +/
Сообщение от Аноним (??) on 16-Янв-18, 10:06 
Есть Torrential:
https://www.opennet.ru/opennews/art.shtml?num=47429
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +3 +/
Сообщение от Аноним (??) on 16-Янв-18, 10:14 
Или если надо много настроек, то qBittorrent:
https://www.opennet.ru/opennews/art.shtml?num=47604
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

15. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от Аноним (??) on 16-Янв-18, 10:55 
qBittorent вообще-то из коробки полон JavaScript'ов... - https://github.com/qbittorrent/qBittorrent/search?l=javascript
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

30. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от НяшМяш (ok) on 16-Янв-18, 13:11 
Просвяти нас, о мудрейший, как сделать динамический вебгуй без яваскрипта?
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

47. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от Аноним (??) on 16-Янв-18, 18:06 
С помощью CSS.
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

57. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от Аноним (??) on 17-Янв-18, 00:21 
> С помощью CSS.

И как CSSом подтянуть обновленные статусы торрентов?

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

76. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от КО on 17-Янв-18, 10:10 
Который точно также позволяет отправить запрос на 127.0.0.1 в каком-нибудь блоке after. :)

Безпарольный доступ в сеть (даже внутри localhost) - данные, которыми ты поделился со всем миром.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

6. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +1 +/
Сообщение от Аноним (??) on 16-Янв-18, 10:09 
> но разработчики никак не отреагировали на проблему

Что за дурацкая привычка появилась у айтишников? Не в первый раз уже в этом году.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +1 +/
Сообщение от анонимоус on 16-Янв-18, 10:11 
Ага. Появилась ;)
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +2 +/
Сообщение от Аноним (??) on 16-Янв-18, 10:23 
Вообще-то это неправда и разработчики таки отреагировали. То, что руки в конечном итоге дошли до одобрения и применения позже желаемого некоторыми отдельными личностями --- это другой вопрос.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

31. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +2 +/
Сообщение от Аноним (??) on 16-Янв-18, 13:12 
> In 20 years of mitigating security issues, we've encountered plenty of resistance. Some upstream projects don't seem to care that their software follows unsafe practices or sacrifice security in favor of obsolete methods. It takes sustained pressure to tear down the walls.     

https://ftp.openbsd.org/pub/OpenBSD/songs/song60a.ogg

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

92. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от rewwa (ok) on 29-Янв-18, 23:37 
>> но разработчики никак не отреагировали на проблему
> Что за дурацкая привычка появилась у айтишников? Не в первый раз уже
> в этом году.

Видимо, так всем удобнее

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

93. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от scorry (ok) on 30-Янв-18, 13:06 
>> но разработчики никак не отреагировали на проблему
> Что за дурацкая привычка появилась у айтишников? Не в первый раз уже
> в этом году.

Да всем побоку просто.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

12. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от Аноним (??) on 16-Янв-18, 10:31 
>затрагивает только конфигурации, в которых запускается отдельный демон
>и он настроен на подключение без пароля

С этого надо было начинать.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

48. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от Аноним (??) on 16-Янв-18, 18:08 
Это например дефолтная настройка в NAS от Asustor.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

63. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от Аноним (??) on 17-Янв-18, 02:33 
> Это например дефолтная настройка в NAS от Asustor.

А ssh без пароля у них нет? Или только инженерные логины? :)

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

17. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от Green (??) on 16-Янв-18, 11:04 
И каким образом эту уязвимость исправили в Debian?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  –1 +/
Сообщение от EHLO on 16-Янв-18, 11:31 
apt -y purge transmission
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

64. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +2 +/
Сообщение от Аноним (??) on 17-Янв-18, 02:34 
> apt -y purge transmission

Хорошо что ты не врач.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

25. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от Аноним (??) on 16-Янв-18, 12:08 
Полагаю, тем же, что и в Gentoo. Проверяют заголовок Host.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от Рыба ест людей on 16-Янв-18, 11:29 
Чет столько понаписали, а тут всего лишь CSRF+DNS rebinding.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от adolfus (ok) on 16-Янв-18, 11:36 
Т.е. нужно
1) состряпать подлую страницу
2) хакнуть DNS
3) хакнуть хост с бакендом transmission, например NAS или мультимедийный центр
4) установить там браузер
5) зайти на подлую страницу  

А не проще ли просто ограничиться п.3?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +1 +/
Сообщение от Рыба ест людей on 16-Янв-18, 11:43 
> Т.е. нужно
> 1) состряпать подлую страницу
> 2) хакнуть DNS

DNS хакать не нужно. Достаточно купить доменное имя и "правильно" настроить свой DNS сервер.
> 3) хакнуть хост с бакендом transmission, например NAS или мультимедийный центр
> 4) установить там браузер

Предполагается, что хозяин браузера настолько странный, что запускает transmission на рабочей станции, там же где и работает в браузере.
> 5) зайти на подлую страницу
> А не проще ли просто ограничиться п.3?

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

34. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от paulus (ok) on 16-Янв-18, 13:55 
>Предполагается, что хозяин браузера настолько странный, что запускает transmission на рабочей станции, там же где и работает в браузере.

И что тут странного? Предлагаете два десктопа заводить? ;)

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

37. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от Рыба ест людей on 16-Янв-18, 14:58 
>>Предполагается, что хозяин браузера настолько странный, что запускает transmission на рабочей станции, там же где и работает в браузере.
> И что тут странного? Предлагаете два десктопа заводить? ;)

Transmission умеет работать в режиме десктопного приложения. И тогда порты не оттопыривает. А умеет в режиме демона- тогда он оттопыривает порт для подключения всяких управлялок. Вопрос- нафига настраивать демона на десктопе?

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

38. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от scorry (ok) on 16-Янв-18, 15:26 
> Transmission умеет работать в режиме десктопного приложения. И тогда порты не оттопыривает.
> А умеет в режиме демона- тогда он оттопыривает порт для подключения
> всяких управлялок. Вопрос- нафига настраивать демона на десктопе?

Каким образом режим демона связан с доступностью порта управления?

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

65. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от Аноним (??) on 17-Янв-18, 02:44 
> Каким образом режим демона связан с доступностью порта управления?

Демон без управления штука непрактичная. Все-таки торенты надо как-то добавить на закачку, а потом неплохо бы узнать что они скачались. В этом месте демону требуется какой-то интерфейс управления. Десктопной же программе вывешивать ремотное управление не акиуально, у нее локальный гуй есть.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

77. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от scorry (ok) on 17-Янв-18, 12:01 
>> Каким образом режим демона связан с доступностью порта управления?
> Демон без управления штука непрактичная.

Управление бывает разным.

> Все-таки торенты надо как-то добавить на закачку

watch-dir

> а потом неплохо бы узнать что они скачались.

incomplete-dir

Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

82. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от Аноним (??) on 18-Янв-18, 01:31 
> Управление бывает разным.

Ну да. И как на мой вкус, прицепиться к РЕМОТНОМУ демону торентокачалки на роутере или одноплатнике очень удобно. Что через вебморду что gtk/qt мордой по тому же протоколу.

> watch-dir

И как мне этим вачдиром воспользоваться, если демон въе где-то там, на роутере или одноплатнике с хардом под торенты? Пробрасывать его оттуда?

> incomplete-dir

Что - incomplete dir? Если я локально нечто запущу, то могу на GTK или Qt прогу посмотреть, как на интерфейс. Демона же обычно запускают на неинтерактивной машине без гуя и incomplete-dir где-нить на одноплатнике, роутере или серваке очень мне приболел пользоваться им где-то там.

Собссно у сабжа vuln случался только в идиотской ситуации когда управление разрешено, пароль не поставлен, а ремотная вебпага синхронно с днс решили на пару приколоться над растяпой. Это, конечно, тоже безобразие. Но масштаб проблемы весьма маргинальный и затрагивает только каких-то очень странных людей, зачем-то пускающих клиент без авторизации. И таки да, если морда без авторизации, стоит быть готовым что кто угодно подкрутит немного настройки в этой морде. Странно, правда?

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

84. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от scorry (ok) on 18-Янв-18, 11:26 
>> watch-dir
> И как мне этим вачдиром воспользоваться, если демон въе где-то там, на
> роутере или одноплатнике с хардом под торенты? Пробрасывать его оттуда?

Послушайте, вы спросили — я ответил. Есть способ бросать файлы? Есть. Вы не можете его использовать по какой-то причине — ради бога, не используйте.

> Что - incomplete dir? Если я локально нечто запущу, то могу на
> GTK или Qt прогу посмотреть, как на интерфейс. Демона же обычно
> запускают на неинтерактивной машине без гуя и incomplete-dir где-нить на одноплатнике,
> роутере или серваке очень мне приболел пользоваться им где-то там.

О господи. Снова пришёл кто-то, кто знает, КАК ИМЕННО все это запускают, и никак иначе, по его мнению.

Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

89. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от Аноним (??) on 19-Янв-18, 00:36 
> Послушайте, вы спросили — я ответил. Есть способ бросать файлы? Есть. Вы
> не можете его использовать по какой-то причине — ради бога, не используйте.

Да можно то что угодно. Тут скорее уместен вопрос "а нафига?". Нафига это делать именно так? Если у меня локальная машина доступна, упомянутое взаимодействие выглядит сложным, не наглядным, требует лишних действий и не дает представления чем сейчас занимается программа.

> О господи. Снова пришёл кто-то, кто знает, КАК ИМЕННО все это запускают,
> и никак иначе, по его мнению.

Никто не спорит что можно придумать бесконечное количество способов взаимодействия с программой. Можно например телеграфным ключом настукивать содержимое торента закодировав его в base64. Всего полчаса траха - и закачка добалена. Но зачем?

Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

29. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от Онаним on 16-Янв-18, 13:11 
Качать маковерсию с офсайта уже безопасно? А то они несколько раз протрояненную выкладывали на сколько я помню...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +1 +/
Сообщение от НяшМяш (ok) on 16-Янв-18, 13:13 
После первого случая перешёл на qBittorrent. Хоть под макакосью и страшный (особенно версия 4), но мне им торренты качать, а не рассматривать.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

33. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +2 +/
Сообщение от Андрей (??) on 16-Янв-18, 13:38 
> Информация об уязвимости и патч для её устранения были переданы разработчикам Transmission ещё 30 ноября, но разработчики никак не отреагировали на проблему,

Эх, какие разработчики? Transmission переехал на github как раз после того, как разработчики бросили проект. Хорошо что человек, которые предложил кучу патчей подобрал трансмиссию и приютил на гитхабе. Интересно, у него есть вообще доступ к тому закрытому списку рассылки, куда было послано сообщение?

> поэтому исследователь решил раскрыть подробности об атаке не дожидаясь истечения 90 дней, чтобы дистрибутивы могли устранить уязвимость независимо от основного проекта.

Класс! А зачем тогда вообще этот срок?

> По мнению разработчиков Transmission уязвимость не представляет практическую опасность, так как...

А где эти разработчики это сказали?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

54. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от Kuromi (ok) on 17-Янв-18, 00:02 
Да уж, к сожалению разработка у Трансмиссии совсем встала. В последнее время я лично переполз на Tixati, закрытый правда, и интерфейс специфический, нужно привыкнуть, но вцелом пошустрее и, главное, поинформативнее. Скажем трансмиссия очень плохо обрабатывает magnet ссылки, Тиксати и быстрее их ловит и хотя бы показывает почему они не запускаются (есть такие клиенты, которые не поддерживают передачу метаданных, в результате пиры вроде есть, а закачка не стартует).
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

67. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от Аноним (??) on 17-Янв-18, 02:55 
> Да уж, к сожалению разработка у Трансмиссии совсем встала.


commit eb5d1a79cbe1b9bc5b22fdcc598694ecd4d02f43
Merge: c8696df cf7173d
Author: Mike Gelfand <mikedld@users.noreply.github.com>
Date:   Mon Jan 15 23:46:32 2018 +0300

    Merge pull request #468 from taviso/master
    
    CVE-2018-5702: Mitigate dns rebinding attacks against daemon

commit cf7173df930cfa7ac1b1b0e9027c1deffd0b3c84
Author: Tavis Ormandy <taviso@google.com>
Date:   Thu Jan 11 10:00:41 2018 -0800

    mitigate dns rebinding attacks against daemon


Однако сабж починили только в путь.

> бы показывает почему они не запускаются (есть такие клиенты, которые не
> поддерживают передачу метаданных, в результате пиры вроде есть, а закачка не стартует).

В трансмишне можно включить вербозный лог если тебе интересно в чужих глюках копаться. А так статус закачки показывается и когда метаданные получены, свойства здорово меняются. У трансмишна раньше были свои глюки еще с передачей метаданных, но это давно починено. А чужие глюки - тут уж никто не виноват, вопрос к кривым ремотным клиентам. Если пипец как интересно, debug лог пишет что именно он с метаданными делает, сошелся ли хэш, когда трансфер "demagnetized" стал и проч. Только нафиг этим голову забивать? Трансмишн хорош тем что работает "где-то там", на роутере или мелком ARMовском одноплатнике, и его не видно.

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

90. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от Kuromi (ok) on 20-Янв-18, 00:28 
Ну как зачем? В Тиксати смотришь - ага, имеются пиры, которые, гады, не передают (не умеют) метаданные. Таким образом хрен его знает запустится ли эта закачка в принципе когда либо, возможно стоит поискать альтернативы.
В Трансмиссии ты видишь что есть пиры и...все.
Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

91. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +1 +/
Сообщение от Аноним (??) on 21-Янв-18, 05:09 
В тиксати смотришь - неведомый блоб, который хрен запустишь на роутере. Обламываешься и уходишь.
Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

66. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +1 +/
Сообщение от Аноним (??) on 17-Янв-18, 02:47 
> Эх, какие разработчики? Transmission переехал на github как раз после того, как
> разработчики бросили проект.

Шутить изволишь? На гитхабе все те же лица что и в траке раньше. А то что на гитхабе появилась куча патчей - да, с git'ом да на гитхабе стало куда удобнее pull request присылать чем в svn-е то да с кривущим trak-ом.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

72. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от Андрей (??) on 17-Янв-18, 04:06 
Не вижу активного участия Jordan Lee и Mitchell Livingston! Только в конце 2014-го к ним присоединился Mike Gelfand. Он и перенял на себя проект.
Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

81. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +1 +/
Сообщение от Аноним (??) on 18-Янв-18, 01:22 
> Не вижу активного участия Jordan Lee и Mitchell Livingston! Только в конце
> 2014-го к ним присоединился Mike Gelfand. Он и перенял на себя проект.

Ну это да. Впрочем Jordan делал core, к нему вроде крупных проблем и претензий не осталось и все просто работает. Улучшать конечно можно до бесконечности, но в конечном итоге, это работает.

Livingston - подозреваю что именно его как ярого макосника и хакали несколько раз, подсовывая троянскую версию в макосный бинарь.

JCH написавший libdht под трансмишн - его либа никуда и не делась, периодически новые версии тягают в third-party/dht. То что перца нет в явном виде - да, он где-то за сценой. Libutp из utorrent тоже подтягивают периодически. Иногда вот некто присылает pull request-ы, на гитхабе это проще чем в траке с svn.

Вообще распределенная разработка штука забавная. Там довольно сложно провести четкие грани.

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

39. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  –1 +/
Сообщение от X4asd (ok) on 16-Янв-18, 15:32 
> в которых запускается отдельный демон (например, в случае применения web-фронтэнда) и он настроен на подключение без пароля.

ну если без пароля -- тогда о чём вообще разговор?

тожемне уязвимость

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

50. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от Аноним (??) on 16-Янв-18, 18:11 
> Для обхода данного ограничения предлагается интересный трюк.

А при чём тут transmission?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

52. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от Аноним (??) on 16-Янв-18, 21:53 
>> Для обхода данного ограничения предлагается интересный трюк.
> А при чём тут transmission?

Так ставьте Whonix, и в тоннель ныряйте (пока от туда свет не показался ;)!

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

53. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от Мрак Цукерович on 16-Янв-18, 22:15 
gRPC у них мозгов запилить не хватило, зато можно юзать дырявые RPC..
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

68. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от Аноним (??) on 17-Янв-18, 03:02 
> gRPC у них мозгов запилить не хватило, зато можно юзать дырявые RPC..

У них RPC ориентирован на работу с вебмордами, по сути AJAX обычный, порт управления - простенький HTTP, по нему летает JSON во все поля, да и вебморду если надо через него же отгрузит. До кучи к нему умеют цепляться GTKшная софтина управления или Qt'шный вариант трансмишна. Также есть некая штука на дотнете под винду, говорящая по тому же протоколу.

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

73. "Уязвимость в BitTorrent-клиенте Transmission, позволяющая вы..."  +/
Сообщение от Аноним (??) on 17-Янв-18, 05:19 
на Убунту патч пришёл сегодня.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру